本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# GuardDuty 的服務連結角色許可
<a name="slr-permissions"></a>

GuardDuty 使用名為 `AWSServiceRoleForAmazonGuardDuty` 的服務連結角色 (SLR)。SLR 允許 GuardDuty 執行以下任務。同時它還允許 GuardDuty 將屬於 EC2 執行個體的已擷取中繼資料包含在 GuardDuty 可能產生關於潛在威脅的調查結果中。`AWSServiceRoleForAmazonGuardDuty` 服務連結角色信任 `guardduty.amazonaws.com` 服務來擔任該角色。

許可政策可協助 GuardDuty 執行下列任務：
+ 使用 Amazon EC2 動作來管理和擷取 EC2 執行個體、映像和網路元件的相關資訊，例如 VPCs、子網路和傳輸閘道。
+ 當您使用 Amazon EC2 的自動代理程式啟用 GuardDuty 執行期監控時，請使用 AWS Systems Manager 動作來管理 Amazon EC2 執行個體上的 SSM 關聯。停用 GuardDuty 自動化代理程式組態時，GuardDuty 只會考慮具有包含標籤 (`GuardDutyManaged`：) 的 EC2 執行個體`true`。
+ 使用 AWS Organizations 動作來描述相關聯的帳戶和組織 ID。
+ 使用 Amazon S3 動作擷取有關 S3 儲存貯體和物件的資訊。
+ 使用 AWS Lambda 動作來擷取 Lambda 函數和標籤的相關資訊。
+ 使用 Amazon EKS 動作來管理和擷取有關 EKS 叢集的資訊，以及管理 EKS 叢集上的 [Amazon EKS 附加元件](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)。EKS 動作也會擷取有關與 GuardDuty 相關聯之標籤的資訊。
+ 啟用 EC2 的惡意軟體防護[EC2 惡意軟體防護的服務連結角色許可](slr-permissions-malware-protection.md)後，使用 IAM 建立 。
+ 使用 Amazon ECS 動作來管理和擷取 Amazon ECS 叢集的相關資訊，並使用 管理 Amazon ECS 帳戶設定`guarddutyActivate`。與 Amazon ECS 相關的動作也會擷取與 GuardDuty 相關聯的標籤資訊。

該角色使用名為 `AmazonGuardDutyServiceRolePolicy` 的下列 [AWS 受管政策](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)進行設定。

若要檢閱此政策的許可，請參閱《 *AWS 受管政策參考指南*》中的 [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)。

以下是附加到 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色的信任政策：

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

如需`AmazonGuardDutyServiceRolePolicy`政策更新的詳細資訊，請參閱 [AWS 受管政策的 GuardDuty 更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。如需此政策變更的自動提醒，請訂閱 [文件歷史紀錄](doc-history.md)頁面上的 RSS 摘要。

## 建立 GuardDuty 的服務連結角色
<a name="create-slr"></a>

當您第一次啟用 GuardDuty 或在先前未啟用 GuardDuty 的支援區域中啟用它時，`AWSServiceRoleForAmazonGuardDuty` 服務連結角色會自動建立。您也可以使用 IAM 主控台、 AWS CLI或 IAM API 手動建立服務連結角色。

**重要**  
為 GuardDuty 委派管理員帳戶建立的服務連結角色不適用於 GuardDuty 成員帳戶。

您必須設定許可，IAM 主體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。為成功建立 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色，您搭配 GuardDuty 使用的 IAM 主體必須擁有所需許可。如需授與必要的許可，請附加以下政策至此 使用者、群組或角色：

**注意**  
將下列範例中的範例*帳戶 ID* 取代為您的實際 AWS 帳戶 ID。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}
```

------

如需有關手動建立角色的詳細資訊，請參閱《IAM 使用者指南》**中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。

## 編輯 GuardDuty 的服務連結角色
<a name="edit-slr"></a>

GuardDuty 不允許您編輯 `AWSServiceRoleForAmazonGuardDuty` 服務連結角色。因為可能有各種實體會參考服務連結角色，所以您無法在建立角色之後變更其名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 GuardDuty 的服務連結角色
<a name="delete-slr"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。

**重要**  
如果您已啟用 EC2 的惡意軟體防護，刪除 `AWSServiceRoleForAmazonGuardDuty`不會自動刪除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`。如果您想要刪除 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`，請參閱[刪除 EC2 惡意軟體防護的服務連結角色](slr-permissions-malware-protection#delete-slr)。

您必須在已啟用 GuardDuty 的所有區域中將它停用，才能刪除 `AWSServiceRoleForAmazonGuardDuty`。如果未停用 GuardDuty 服務，當您嘗試刪除服務連結角色時，刪除就會失敗。如需詳細資訊，請參閱[暫停或停用 GuardDuty](guardduty_suspend-disable.md)。

當您停用 GuardDuty 時，`AWSServiceRoleForAmazonGuardDuty` 不會自動刪除。如果您再次啟用 GuardDuty，它會開始使用現有的 `AWSServiceRoleForAmazonGuardDuty`。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除`AWSServiceRoleForAmazonGuardDuty`服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 支援的 AWS 區域
<a name="guardduty-slr-regions"></a>

Amazon GuardDuty 支援在所有提供 GuardDuty AWS 區域 的 中使用`AWSServiceRoleForAmazonGuardDuty`服務連結角色。如需目前可使用 GuardDuty 的區域清單，請參閱 *Amazon Web Services 一般參考* 中的 [Amazon GuardDuty endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)。